Mozilla окончателно блокира шпионската компания DarkMatter

Mozilla     DarkMatter.td_uid_42_5d2731a89517c_rand.td-a-rec-img{text-align:left}.td_uid_42_5d2731a89517c_rand.td-a-rec-img img{margin:0 auto 0 0}

В началото на тази седмица Mozilla окончателно отказа на DarkMatter включването на нейния основен сертификат в хранилището Root Store. Освен това в черния списък OneCRL са въведени и междинните сертификати на QuoVadis, издадени от удостоверяващия център на DarkMatter. Медиите обвиняват тази компания в продажбата на софтуер за наблюдение и следене, в услуги за репресивните режими в Близкия Изток и други подобни аморални действия.

Въпреки че няма преки доказателства за некоректната дейност на тази компания, след четиримесечна дискусия Mozilla в началото на тази седмица взе решение да изключи междинните сертификати QuoVadis от хранилището на Firefox, а управляващият център DarkMatter бе окончателно блокиран.

Някои експерти са на мнение, че това е опасен прецедент. Разбира се, компанията DarkMatter на никой не се харесва, но да се свали доверието от нея на базата на няколко статии в медиите, изглежда прекалено. Ръководството на DarkMatter открито общува в Google Groups, където обясни, че не се занимава с нищо аморално и написаното журналистите не е вярно. Но под влиянието на общественото мнение Mozilla реши друго. Това всъщност е съвсем логично: ако тя бе оставила DarkMatter сред доверените удостоверяващи центрове, то възниква съвсем реален риск Mozilla да изгуби доверието на потребителите към своето доверено хранилище.

.td_uid_41_5d2731a894c84_rand.td-a-rec-img{text-align:left}.td_uid_41_5d2731a894c84_rand.td-a-rec-img img{margin:0 auto 0 0} Предисторията

Да си припомним каква е предисторията на конфликта. DarkMatter съвсем не е обикновена компания, а разработчик на шпионски софтуер за ОАЕ. Преди това тя бе засечена да купува 0day експлойти. По принцип, това не е престъпление. Има много компании, които се занимават със създаването на разнообразен хакерски инструментариум с използването на 0day. Те продават тези програми например на правоприлагащите органи за проникване например в смартфоните (криминални експертизи) или за скрито инсталиране на троянци (за оперативно наблюдение). Но общоприетите и неписани правила гласят, че хакерските компании работят само с демократични правителства – тоест, те са на страната на доброто.

Страстите се нажежиха, когато Reuters представи резултатите от своето разследване, показало, че  DarkMatter е продавала хакерски софтуер на репресивните режими от Близкия Изток. В статията на Reuters най-подробно се описват хакерските операции, организирани от DarkMatter срещу защитници на човешките права, журналисти и чуждестранни правителства. Тези операции са извършвани по заповед на властите на ОАЕ.

Mozilla     DarkMatter

Малко по-късно, освен от Reuters, информацията бе потвърдена и разширена от още четири независими източника.

Mozilla моментално се оказа под натиск. Довереното root хранилище за сертификати на Mozilla се използва и от други компании, включително и от някои Linux дистрибуции. Хората се притесниха, че попадайки в Mozilla Root Store, компанията DarkMatter ще започне да издава TLS сертификати, които могат да се използват за прихващане трафика на потребителите. Вече имаше подобни случаи в държави с репресивен режим. Но този път проблемът може да засегне редица Linux дистрибуции, а именно Linux се използва в сървърите на облачните провайдъри, както и в дата центровете. При обсъжданията на тази ситуация представителите на DarkMatter заявиха, че нищо подобно не възнамеряват да правят.

В същото време експертите най-внимателно изследваха сертификатите на DarkMatter. Почти веднага бе открито нещо странно: при няколко поредни сертификата са използвани случайни числа от 63-битовото пространство вместо от 64-битовото. Това нарушава изискванията на CA/B Forum за минимална ентропия (64 бита). А това означава, че Mozilla има формалното основание да откаже на „шпионите“ включване в довереното хранилище за сертификати. Скоро се изясни, че подобно нарушение са допуснали и други удостоверяващи центрове, включително тези на GoDaddy, Apple и Google. Причината е, че всички пострадали центрове са използвали популярното open source PKI решение EJBCA с неправилни настройки. Това веднага стана причина за масовото отзоваване на сертификати от водещи удостоверяващи центрове. Тоест, в този случай DarkMatter помогна за разкриването на сериозна криптографска уязвимост, въпреки че и тя самата пострада от това.

Всъщност обвиненията в разследването на Reuters нямат конкретни доказателства и може да се каже, че това са само предположения. Но заявката на DarkMatter за включване в root хранилището на Mozilla бе отклонена. Някои независими експерти се изказаха, че не е много правилно да се отклонява подобна заявка на базата журналистическо разследване. Оттогава до днес дискусията на тази тема не спира.

„Странна ситуация. От една страна, отказът на заявката на DarkMatter на базата на тези материали в пресата създава прецедент. Голяма IT компания отказва услуга само на базата на слухове, без никакви доказателства“ – заяви известният специалист по информационна безопасност Надим Кобейси. „От друга страна, ако бъде взето решение да се действа абсолютно добросъвестно, прозрачно и чрез фактически доказателства, то това би подронило доверието на обществеността към процеса на включване към управляващия център. Според мен и двете решения ще нанесат вреда. В първия случай всичко изглежда дискриминационно и дори ксенофобно, а във втория възниква сериозен риск в безопасността на root каталога на управляващия център. Като страничен наблюдател най-искренно казвам, че не зная какво трябва да направи Mozilla в тази ситуация“.

Окончателното решение

На 9 юли, само преди два дни, Уейн Тайър, мениджър на програмата за сертифициране на Mozilla, официално съобщи, че на DarkMatter окончателно е отказано включването на root сертификат в хранилището.

Освен това, Mozilla взе решение за премахването от своето хранилище на междинните сертификати на компанията QuoVadis, която работи в интерес на DarkMatter .

Mozilla     DarkMatter

Какво следва от това? Когато тези решения влязат в сила, а това ще стане със следващото обновяване на Firefox, всички уеб сайтове, използващи TLS сертификати, получени от DarkMatter, ще показват HTTPS грешки, съпроводени с предупреждение и блокиране на достъпа до тези сайтове.

Уейн Тайър благодари на представителите на DarkMatter за отворената публична дискусия на тази тема:

„Както вече казах по-рано, всяко решение, свързано с недоверието, има съществен субективен характер. Нашите решения се вземат чрез колективна оценка на ситуацията и на цялата достъпна информация, а не чрез точното съблюдаване на точките от някакъв списък“.

С други думи, може и да няма доказателства за вина, но и ние съвсем не сме съдилище. Презумпцията за невиновност тук не важи.

На 12 юни излезе ново журналистическо разследване на DarkMatter, този път на изданието The Intercept. Навярно това бе последната капка и сега решението е вече е взето.

Коментари
Все още няма коментари
Статистика
Прегледи 5
Коментари 0
Рейтинг
Добавена на11 Юли 2019
ИзточникKaldata

Тагове
Mozilla, DarkMatter
Ние във фейсбук